Автор — один из наших постоянных читателей по имени Александр. Мне показалось неправильным полностью переделывать и как-либо радикально улучшать текст, и тем самым вроде бы как присваивать авторство (даже частично) себе.
Однажды мне позвонил друг и говорит, что при попытке зайти на сайты однокласники, фейсбук и вконтакте почему-то открываются порно-сайты. Другие интернет-страницы открываюся нормально.
Ну, естественно, сразу появилась мысль, что изменён файл hosts, находящийся в C:WindowsSystem32driversetc
Я говорю, проверь его содержимое. Он отвечает, что уже посмотрел и в нём ничего подозрительного нет — приезжай.
Мы проверили всё, что могли. Антивирус (KIS 2012) тоже ничего не выявил.
А вот после проверки компьютера Malwarebytes’ Anti-Malware-ом выяснилось вот что:
Этот антируткит обнаружил ещё один файл hosts !
Я даже не предполагал, что такое возможно.
Этот файл удалили, а реестре HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet services Tcpip Parameters обнаружилась запись %windir%System32 :
А ведь по-умолчанию значение DataBasePath должно быть %SystemRoot%System32driversetc !
То есть, оказывается можно создать ссылку на фальшивый файл hosts, и при этом пользователь будет у верен, что с этим файлом у него всё в порядке !
Когда восстановили значение ключа реестра (нужна перезагрузка) сайты стали открываться нормально.
У него установлена Windows XP (x32), браузер IE.
Да, кстати, потом спросил друга — с чего всё началось ? Он сказал, что заходил на какой-то сайт, там на пол-экрана была реклама, он её закрыл, а компьютер при этом перезагрузился.